Abwehreinheit für die Wolke

Die Software "HomeAlone" soll sicherstellen, dass sensible Daten in Cloud-Computing-Diensten wirklich isoliert von anderen Prozessen ablaufen – und auch nicht ausgespäht werden können.

Einer der großen IT-Trends der vergangenen Jahre ist das Cloud Computing: die Verteilung von Datendiensten auf eine „Rechnerwolke“, die von externen Dienstleistern gepflegt wird. Doch nicht allen Unternehmen ist, trotz zum Teil erheblicher Kostensenkungen, wohl bei dem Gedanken, wichtige Daten Dritten zu überlassen. Eine neue Software, „HomeAlone“ genannt, soll diese Bedenken nun zerstreuen helfen.

Üblicherweise arbeiten Cloud-Anbieter mit virtuellen Maschinen, die keiner bestimmten Hardware zugeordnet sind. Das bedeutet unter anderem, dass der virtuelle Rechner eines Kunden auf mehreren physischen Servern laufen kann: Die Datenprozesse verschiedener Kunden kreuzen also mitunter innerhalb der Cloud munter ihre Wege. IT-Sicherheitsexperten warnen denn auch, dass sich Cloud-Prozesse an solchen Schnittpunkten knacken lassen könnten.

Einige Firmen und Organisationen, etwa die NASA, verlangen daher von Cloud-Providern, dass ihre Daten exklusiv auf Rechnern gespeichert werden, deren Speicherplatz nicht den Daten anderer Kunden zur Verfügung steht. „Die Leuten müssen den Cloud-Providern vertrauen, dass sie die Rechner-Umgebung korrekt konfigurieren, je nach Vereinbarung, aber verifizieren lässt sich das nicht“, sagt Alina Oprea von den RSA Laboratories.

Dies soll HomeAlone, das im Mai auf dem IEEE Symposium on Security and Privacy in Oakland offiziell vorgestellt wird, nun ändern. Mit Hilfe der Software sollen Unternehmen endlich überprüfen können, dass ihre Daten tatsächlich getrennt vorgehalten werden – ohne dass sich ein Provider aktiv daran beteiligen muss.

Um zu überprüfen, ob auf einem konkreten Rechner weitere virtuelle Maschinen laufen – sei es eine Angriffsroutine oder virtuelle Maschinen anderer Kunden – haben sich die HomeAlone-Entwickler um Michael Reiter, Informatiker an der University of North Carolina, von einer bekannten Angriffstechnik inspirieren lassen: der „Seitenkanalattacke“. Die besteht darin, Informationen über die eigentlichen Rechenprozesse auf Umwegen abzugreifen: etwa aus der Messung des momentanen Stromverbrauchs in Prozessorleitungen oder aus den Mustern, in denen Programme auf Zwischenspeicher zugreifen.

HomeAlone nutzt letzteres Verfahren, indem es Zugriffe auf den Cache überwacht, den temporären Speicher eines Prozessors. Hierzu koordiniert die Software die Aktivitäten einer autorisierten virtuellen Maschine derart, dass bestimmte, zufällig ausgewählte Bereiche des Cache ungenutzt bleiben. Wird auf diese Bereiche nun von einem anderen Prozess zugegriffen, kann HomeAlone dies registrieren.

Derzeit erreicht die Software eine Zuverlässigkeit von 80 Prozent – in vier Fünftel aller Fälle meldet sie also einen nicht autorisierten Zugriff. Die Rate falscher Warnmeldungen liegt bei etwa einem Prozent. Die Wahrscheinlichkeit, Schadsoftware zu entdecken, dürfte aber nach Einschätzung von Reiter höher sein, weil solche Programme einen Cache aktiver nutzen als gewöhnliche Prozesse.

Der Yale-Informatiker Bryan Ford, Spezialist für verteilte Computersysteme, hält die Bedenken von Unternehmen hinsichtlich des Cloud Computing für gerechtfertigt. Er konnte zeigen, dass Angreifer über die "Side Channels" tatsächlich an wichtige Daten gelangen können – bis hin zu Kennwörtern. Cloud-Provider seien häufig selbst nicht im Bilde, was ihre virtuellen Maschinen genau machten, wollten aber andererseits nicht die Verantwortung dafür übernehmen, sagt Ford.

Side Channels für eine Abwehrstrategie zu nutzen, hält Ford für einen vielversprechenden Ansatz. Der können jedoch zu einem „Wettrüsten“ führen, dass sich nicht gewinnen lasse, gibt er zu bedenken. Angreifer könnten künftig noch ausgeklügeltere Methoden finden, um ihre Aktivitäten in einer Cloud zu verschleiern.

HomeAlone hilft vorerst nur Kunden, die ihre Daten auf isolierter Hardware laufen lassen. „Das ist keine generelle Lösung für Cloud-Sicherheit“, betont Reiter. Um auch anderen Kunden einen ähnlichen Schutz zu bieten, sei noch eine Menge Forschungsarbeit nötig. Deshalb arbeiten er und seine Kollegen bereits an einer Software, die irgendwann auch Hardware mit mehreren virtuellen Maschinen überwachen soll.
(nbo)